返回
从wireshark的抓包分析了解网络的分层结构

从wireshark的抓包分析了解网络的分层结构

ID:7819182

大小:2.15 MB

页数:21页

时间:2018-02-27

从wireshark的抓包分析了解网络的分层结构_第1页
从wireshark的抓包分析了解网络的分层结构_第2页
从wireshark的抓包分析了解网络的分层结构_第3页
从wireshark的抓包分析了解网络的分层结构_第4页
从wireshark的抓包分析了解网络的分层结构_第5页
资源描述:

《从wireshark的抓包分析了解网络的分层结构》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、从Wireshark的抓包分析了解网络的分层结构抓包分析,又叫网络嗅探,在计算机网络安全领域,属于被动攻击。即在不干扰正常信息流的前提下,监听整个局域网的通信内容。同时,监听者还可以观察和分析某个PDU(protocoldateunit)的协议信息控制部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换数据的某种性质。仅从学习的角度来讲,通过抓包分析,可以清楚地了解网络协议的性质及网络的分层结构。网络模型主要有两种,即OSI的七层模型和TCP/IP协议簇的四层模型。由于TCP/IP协议簇是互联网上的事实的标准协议,故本文

2、按TCP/IP的体系结构讲述。但为了把原理描述清楚,将网络接口层分为数据链路层和物理层来讲。 为讲解方便,先来了解笔者电脑的一些参数。 当开始抓包后,我们可以看到如下信息。这是在网络接口层抓取到的信息,也就是数据链路层的数据帧,除去前面0000、0010、0020、-------等为帧同步信息外,其他皆为数据中的内容,全部用十六进制表示,这便是数据在链路层的表示形式,当数据链路层把这些十六进制数据交给物理层来发送时,要把十六进制转化为二进制,即c83a………..化为11001000、00111010、……….等,在物理层1、0分别表示高、低电平,一般是一

3、连串矩形脉冲波。  称为数字基带信号。在传输时,根据不同的介质选择不同的调制方式。在有线局域网中,一般用曼彻斯特和差分曼彻斯特编码。在光纤中传输时,用波分复用技术。而在无线局域网中,用CCK(补码键控)、OFDM(正交频分复用技术)和多入多出(Multiple-InputMultiple-Output)技术。由于信号的调制与解调涉及复制的数学运算和通信的专业知识,这里不做讨论。有兴趣的读者可以再任何一本《通信原理》书中找到相关内容。在数据链路层,PDU被称为数据帧,有帧首部、数据部分和帧尾部组成,其中数据部分为ip数据包,帧头和帧尾为帧控制和校验信息。由

4、于数据链路层有许多帧类型,如ppp帧、以太网帧等,所以各种帧的控制信息并不相同,但无论那种帧格式,大致都要实现封装成帧、透明传输和差错控制等功能。因此下面以以太网帧为例。以太网帧的首部有目的地址、源地址、协议类型组成,在抓取的数据包中分别为.由图可知,以太网帧的地址为物理地址,有48为二进制数组成,化为十六进制恰为12位,协议类型有两个字节(16个二进制)组成,其中0800代表该帧的数据部分存放的为ip数据包,如为其他数值,则代表不同的网络层数据.下面是常见的协议代码.在研究帧在数据链路层的传输时,我们说数据帧每过一个路由器就换一次物理地址,以上三个截图

5、分别是本机无线网卡、无线AP接入点、路由器的物理地址(MAC地址)下面的图为抓取的数据两个蓝色部分对应的路由器和本机无线网卡的硬件地址,在抓取的三万多数据帧中,只有这两个物理地址而没有出现无线接入点AP的MAC地址94  44  52  B8  39  CB。这就说明MAC地址没过一个路由器就会改变,也说明数据帧经过接入点、交换机时,不改变物理地址,交换机虽有MAC地址,却用于其他用途。当程序识别出0800字段后,便会把前面的数据删除掉(包括0800),将后面的数据交给网络层。                             网络层ip数据包。其

6、首部结构如下图。其中,ip的版本只有ipv4和ipv6,故第一个十六进制数应为4或6,ip数据包的首部长度介于20~60个字节,且单位为4字节,故第二个十六进制数应在5~F之间。8位服务类型主要用于提供qos服务,在一般情况下,前三位表示ip优先级,后五位不用,而在区分服务模型中,用前六位表示优先级(DSCP),后两位用于流控制(显式拥塞通知)  同时ip优先级和DSCP有一定的映射关系。关于8位TOS如何使用,可以去查阅Qos方面的书籍,本文不深入讨论。 16位总长度是指ip数据包的总长度,一般小于1500字节。 以上三个图的蓝色部分表示该数据包是一个

7、ipv4包,且头长度为20个字节,ip优先级为普通,总长度192个字节。16位标识符用于标记ip数据包的顺序,用于数据分段,一个数据报在传输过程中可能分成若干段,标识符可以区分某分段属于某报文,一个数据报的所有分段具有相同的标识符。3位标志中,只有两位能用,中间位DF=1时,表示该数据不能再分割了,最低位MF=1时,表示该数据是一个大数据中间的一小段,后面还有分片。13位片偏移指出了该分段在原数据报中的相对位置,以8字节为偏移单位。 上面三个图表示抓取到的该数据包是一个大数据报的号码为27157(0X6a15),40 00 化为二进制为0100 0000

8、 0000 0000 ,DF=1、MF=0,表示不能分片、且后面没有分片。这三幅

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。